COVID-19, modernit työtavat, kyberrikollisuus ja SOC-palvelut
Viime kevään alkupuolella pohdin vielä sitä, miten COVID-19 tulee muuttamaan arkipäiväistä elämäämme. Nyt syksyllä pohdin kuinka pysyviä muutokset tulevat olemaan.
COVID-19 sekoitti monen tietoturvauhkien ja -ratkaisuiden parissa työskentelevän asiantuntijan arjen, kun työntekijät siirtyivät koteihinsa työskentelemään ja jolloin yhä suurempi määrä tietoturvaan liittyvää dataa tuli pakolliseksi läpikäydä tavalla tai toisella. Eikä kaikilla yrityksillä suinkaan ollut käytettävissään siihen soveltuvaa ratkaisua.
Yritykset olivat koronaviruspandemian iskiessä hyvin erilaisissa asemissa; joko siirtyneet moderneihin työtapoihin, siirtyivät pandemian aikana ja isolla osalla muutos on vielä kesken tai tulossa. Pandemian iskiessä useilla yrityksillä oli vielä paljon tekemättä.
Kalenterini mukaan olen 5.3 ollut viimeksi fyysisesti asiakkaan tiloissa, sen jälkeen tehnyt kaiken työn kotoani. Sulaville työn tekeminen kotoa, asiointi asiakkaiden ja kollegojen kanssa Teamsilla tai vanhanaikaisesti jopa kännykällä oli helppo siirtymä. Silti, moni Sulava kaipaa jo takaisin normaalimpaan arkeen, kuten myös ne monet tietoturvan kanssa työskentelevät asiantuntijat.
Kyberrikollisuus, COVID-19 ja modernit työtavat
Kyberrikollisuus eli nettirikollisuus oli voimissaan jo ennen pandemiaa. Pandemian aikana ei ole näkynyt merkittävää kasvua nettirikollisuuden määrässä, mutta sen sijaan sen laadussa on tapahtunut muutoksia. Pandemian pelkoa on käytetty hyväksi niin kalasteluviesteissä kuin haittakoodeissakin, unohtamatta puhelimitse tapahtuneita huijausyrityksiä. Muutos kyberrikollisuudessa ainakin toistaiseksi on ollut enemmän laadullinen kuin määrällinen.
Sen sijaan näyttäisi siltä, että pandemian aikainen määrällinen muutos on tapahtunut ainakin kahdessa kohtaa: yhä useampi työntekijä työskentelee kotoaan käsin työnantajan laitteilla ja yhä useampi näistä laitteista on saanut suojakseen uusia ja parempia tietoturvatuotteita.
Perinteisen virustorjunnan rinnalle ovat nousseet palomuurit ja edistyneet uhkien havaitsemis- ja torjuntaohjelmistot kiihtyneellä tahdilla. Lisäksi pilvipalveluiden suojaa on parannettu laajemmilla lisensseillä ja kontrollien määrää sekä pilvessä että konesaleissa on kasvatettu merkittävästi.
Tietoturvan ammattilaisten määrässä en ole nähnyt vastaavaa kasvua. Kuka siis hoitaa kasvaneen tiedon käsittelyn siten, että miljoonien lokirivien välistä pystytään erottelemaan hälytykset ja mahdolliset poikkeamat sekä reagoimaan niihin ajoissa?
Security Operations Center
Oikea vastaus reaaliaikaisen tiedon keräämiseen ja käsittelyyn ei yksiselitteisesti ole Security Incident and Event Management (SIEM) -järjestelmä, vaan SIEM-ratkaisu yhdistettynä osaavaan henkilöstöön huolehtimaan SIEM-järjestelmästä, sen kehittämisestä ja SIEM: in luomista hälytyksistä ja poikkeamista. Ja tässä kohtaa kuvioon astuu Security Operations Center (SOC) -palvelu, joka pystyy toimimaan yhteistyössä organisaation kanssa, organisaation tukena ja resurssina.
Hyvin toteutettu SIEM-järjestelmä kerää dataa useista eri lähteistä. Ei suinkaan kaikkea mahdollista, vaan vain sen, mikä tietoturvauhkien näkökulmasta on oleellista. Kerätystä datasta SIEM-järjestelmä etsii ja ilmoittaa mahdollisista hälytyksistä ja poikkeamista SOC-henkilökunnalle.
He ryhtyvät sovittuihin toimenpiteisiin, joilla pyritään löytämään perimmäinen syy hälytykselle tai poikkeamalle ja korjaamaan tilanne mahdollisimman pian normaaliksi. Yhdessä sovitut prosessit ennen poikkeamaa sekä poikkeaman aikaiset että poikkeaman jälkeiset prosessit ovat tämän työn keskiössä.
On mahdollista, että paluuta täysin entiseen ei ole. Yritykset joutuvat nyt viimeistään miettimään uudelleen, kuinka järjestää työn tekeminen tulevaisuudessa ja kuinka ottaa tietoturvan piiriin työntekijöiden ja koneiden muodostama verkkoympäristö, joka ei ole vertauskuvainnollisesti yhden ison, vaan tuhansien pienten palomuurien ja suojausmekanismien takana.
Tutustu palveluun!
Kuinka seulot miljoonien tietorivien joukosta ne tapahtumat, tai suodatat sadoista hälytyksistä ne vakavimmat, joiden takana voi piillä merkittävä tietoturvapoikkeama?
Sulava voi auttaa organisaatiotasi Sulava Security Operations Center (SOC) palvelun kautta.
Lue myös:
Koneoppimisella tehokkaampaa tietoturvavalvontaa – Microsoft Defender